風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)

電力系統(tǒng)在開展信息系統(tǒng)安全評(píng)估的初期階段,出現(xiàn)過一些問題。有的用戶單位沒有與評(píng)估廠家簽定保密協(xié)議,評(píng)估廠家拿著評(píng)估報(bào)告到處進(jìn)行宣傳,甚至有的地址還在上面,安全風(fēng)險(xiǎn)評(píng)估反而造成新的風(fēng)險(xiǎn),即所謂“評(píng)估的風(fēng)險(xiǎn)”。

有的單位在進(jìn)行安全風(fēng)險(xiǎn)評(píng)估過程中,造成應(yīng)用系統(tǒng)停機(jī),影響正常業(yè)務(wù)。主要是對(duì)在線系統(tǒng)進(jìn)行漏洞掃描引起的。

有的單位沒有進(jìn)行日常的自我安全評(píng)估,完全依賴外部的安全風(fēng)險(xiǎn)評(píng)估,評(píng)估追求形式、走過場(chǎng),評(píng)估后沒有進(jìn)行修改完善。也有的單位自我感覺良好,害怕安全評(píng)估給自己找麻煩,或諱疾忌醫(yī),拒絕進(jìn)行正規(guī)的安全評(píng)估。

針對(duì)這些問題,國家電力公司組織制定了電力二次系統(tǒng)即由電網(wǎng)和電廠的計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)構(gòu)成的一個(gè)綜合負(fù)責(zé)的系統(tǒng)安全評(píng)估規(guī)范,建立了以日常自評(píng)估為主、周期性專業(yè)評(píng)估為輔的制度,逐步培養(yǎng)起一批既熟悉電力系統(tǒng)應(yīng)用,又有安全評(píng)估經(jīng)驗(yàn)的可靠的專業(yè)評(píng)估隊(duì)伍,形成了良好的安全評(píng)估秩序。

風(fēng)險(xiǎn)評(píng)估的原則

電力信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估需按如下原則進(jìn)行:標(biāo)準(zhǔn)的遵從、評(píng)估的完整性、評(píng)估過程的低風(fēng)險(xiǎn)、以及評(píng)估的實(shí)用性。

參照ISO/IECTR13335標(biāo)準(zhǔn)系列和BS7799的要求，制定網(wǎng)絡(luò)系統(tǒng)安全評(píng)估方案，方案包括了評(píng)估的主要步驟、技術(shù)內(nèi)容和實(shí)施管理。

按階段評(píng)估分為:評(píng)估啟動(dòng)階段、安全風(fēng)險(xiǎn)評(píng)估階段、風(fēng)險(xiǎn)分析階段和提出安全建議階段.評(píng)估的每個(gè)階段又由不同的工作活動(dòng)組成。

評(píng)估工作的主要內(nèi)容為現(xiàn)場(chǎng)風(fēng)險(xiǎn)評(píng)估，包括資產(chǎn)統(tǒng)計(jì)、A脅分析、漏洞發(fā)現(xiàn)、人工評(píng)估等，安全風(fēng)險(xiǎn)評(píng)估工作的所有內(nèi)容圍繞現(xiàn)場(chǎng)風(fēng)險(xiǎn)評(píng)估展開。

圖：風(fēng)險(xiǎn)評(píng)估實(shí)施流程圖

電力系統(tǒng)信息資產(chǎn)統(tǒng)計(jì)包括對(duì)評(píng)估范圍內(nèi)的所有有形和無形資產(chǎn)的統(tǒng)計(jì)，以及對(duì)這些資產(chǎn)的標(biāo)識(shí)和其具有的價(jià)值和影響的半定量化的估算。

漏洞掃描通過一系列的掃描工具對(duì)信息系統(tǒng)中的漏洞進(jìn)行發(fā)現(xiàn),確認(rèn)系統(tǒng)中的脆弱點(diǎn)數(shù)量和嚴(yán)重性。

威脅分析通過對(duì)網(wǎng)絡(luò)系統(tǒng)歷史上受到的攻擊和危害的統(tǒng)計(jì)和判斷，結(jié)合國際公認(rèn)的威脅列表，以及系統(tǒng)環(huán)境分析，確定對(duì)當(dāng)前系統(tǒng)最大的威脅來源。

策略文檔分析主要是對(duì)網(wǎng)絡(luò)系統(tǒng)中已制定和先采用的策略文檔進(jìn)行安全性分析、完整性分析和有效性分析，通過分析發(fā)現(xiàn)現(xiàn)有策略中的漏洞和確定策略體系的完整性。本部分的工作可以先期展開。

審計(jì)和策略訪談主要是按照BS7799中對(duì)信息安全管理的要求分級(jí)別、分角色、分類對(duì)調(diào)度系統(tǒng)管理人員進(jìn)行信息安全的調(diào)查，以確定網(wǎng)絡(luò)系統(tǒng)中涉及到的管理漏洞、人員安全意識(shí)等問題。其中，包括了對(duì)業(yè)務(wù)系統(tǒng)的跟蹤分析和對(duì)現(xiàn)有策略執(zhí)行情況的調(diào)查。

評(píng)估總結(jié)是對(duì)現(xiàn)場(chǎng)工作的匯報(bào)和情況總結(jié)，包括數(shù)據(jù)的初步整理、審核和確認(rèn)。